Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?

<< < (2/18) > >>

(h)uMan:

--- Zitat von: stoeps am 18.10.14 - 21:08:39 ---a) vorgelagerte Appliance für SMTP (Ironport, Lotus Protector)
b) Reverse Proxy

--- Ende Zitat ---

Kann Lotus Protector denn mit SHA-2, TLS und aktuelle Ciphersuites umgehen?
Wir z. B. müssen den Mailverkehr zu einigen externen Partner mit s/mime verschlüsseln. Das ist derzeit mit von der Domino CA ausgestellten Internetzertifikaten nicht (mehr) möglich.


--- Zitat von: stoeps am 18.10.14 - 21:08:39 ---Als ganz gute Option sehe ich:
a) nginx (Reverse Proxy für http, smtp, pop3 und imap)

--- Ende Zitat ---

Hat jemand nginx als Reverse Proxy mit transparenten Failover & Loadbalancing für HTTPs & IMAPs Verbindungen im Einsatz und kann Erfahrungen und Tipps mitteilen? Der nginx Proxy sollte dabei auch mit transparenten Failover laufen (Cluster)

datenbanken24:
shiraz hat schon recht. Das ist unfaßbar.

IBM schwadroniert seit Monaten von der Cloud.
Cloud! Cloud! Cloud! Blub. Blub. Blub.

Mindestens genau so lange weisen tausende Kunden unermüdlich darauf hin,
dass die SSL Optionen im Domino Server dringend aktualisiert werden müssen.
Das ist tiefstes Mittelalter, was da zur Auswahl angeboten wird.

Wer heute Zertifikate bestellt, z.B. bei comodo, bekommt schon gar kein SHA-1 mehr.
Nur nach langen Ausnahmeverhandlungen.

Ob es IBM technisch nicht hinbekommt oder einfach nur schläft oder gar die NSA ein Update nicht erlaubt, sei dahingestellt.
Aber SHA-2 ist nun mal Standard.

Auf der einen Seite stellen Kunden und Hersteller derzeit logischerweise massiv Ihre Browser um -
andererseits kann der IBM Server das einfach nicht liefern.
Als Cloud-Provider steckt man dazwischen in der Klemme.

IBM blubbert die üblichen Phrasen anstatt schnell und professionell zu reagieren und zu handeln.

Cloud ist nicht nur Marketing und Vertrieb - Cloud ist Technik und Innovation.

Es herrscht hier dringendster Handlungsbedarf seitens IBM.

Das Problem aller Workarounds - und damit auch der oben beschrieben - ist,
dass man damit zwar ein Problem löst - aber sich meist 20 neue einfängt.

Jeder, wirklich jeder, der einen IBM Supportvertrag hat,
sollte sofort einen Call diesbezüglich aufmachen und Druck aufbauen.
Hier herrscht extremster Handlungsbedarf.

Gruß,
Uwe

hallo.dirk:

--- Zitat ---Mal ehrlich: wer von uns hat noch seine Dominos direkt im Internet hängen?
--- Ende Zitat ---

Dann will ich mal eine Lanze brechen:
Hier ich!
Für eine public Notes Applikation, die aber Eingaben der Anwender erfasst.
Es hat bisher keinen Sinn gemacht, etwas davor zu schalten.

Hier ist aber weniger die Sicherheit ein Problem sondern die Tatsache, dass man nun anfängt in Browsern und das Fallback auf 3.0 ab zu stellen. Damit ist die Applikation (Domino) nicht mehr nutzbar....

Weiterhin verstehe ich das ja so, dass ein Angriff nur mit Beteiligung des Browsers geschehen kann, dass würde die anderen Domino Protokolle (SMTP, IMAP etc) von einem Angriffsszenario zunächst ausschließen.

Das für mich Erschreckende ist aber die Tatsache, dass es schon seit Jahren bei IBM bekannt ist und nichts dagegen unternommen wird.

datenbanken24:
... obwohl immer und immer und immer wieder darauf hin gewiesen wird...

eg.:

The only people who can get this done are big IBM Domino customers. Since this doesn't have a direct net positive effect on EPS (Earnings Per Share) for 2016, nothing is going to get done on it as long as they keep having the excuse that "our customers aren't telling us they need this".

 Start telling them. Loudly. Repeatedly. If you're a large enough customer that you negotiate licensing, make it a condition of license renewal.


Original:
http://www.thenorth.com/apblog4.nsf/0/236121854727AE5885257D560053631E


Wir haben daraufhin erst letzten Monat alle unsere SSL Zertifikate auf ein kürzeres Enddatum "abschneiden lassen". Verrückt, aufwendig und sehr teuer. Aber eben notwendig. Und gut für den Aktienwert von IBM, wenn andere für die Fehler bezahlen...

Für die SHA-2 Problematik (nicht POODLE) könnte es einen Workaround geben, wir testen diesen gerade.

http://blog.darrenduke.net/Darren/DDBZ.nsf/dx/so-domino-and-sha2.....theres-a-spr-for-that.htm?opendocument&comments

Gruß,
Uwe

shiraz:
http://www.wiseman.la/web/cpwblog.nsf/dx/repost-ibm...-please-update-dominos-ssltls.-its-stuck-in-ancient-times-and-vulnerable..htm?opendocument&comments

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete